PfSense как OpenVpn сервер/клиент ерунда с трафиком



  • pfSense как OpenVpn сервер/клиент. Непонятное прохождение трафика через фанервол

    Ситуация такая, две сети связаны между собой туннелем и все работает претензий нет. Но вот в чем непонятка из сети 2 трафик на фаерволе фиксируется так как будто он отпрпавлен со шлюза, хотя на самом деле трассерт запущен с клиента. Из сети 1 все идет нормально, на фаерволах все разрешено во всех направлениях

    Исходя из этого невозможно настроить нормально маршрутизацию из сети 2, все запросы от клиентов на фаерволе фиксируются от имени шлюза. На клиентах шлюзом прописаны роутеры, на роутерах соответствующие маршруты на pfSense

    Подскажите в чем может быть проблема, всю голову сломал

    Картинки
    1 Карта сети
    2 NAT на сервере
    3 NAT на клиенте
    4 фаервол на сервере
    5 фаервол на клиенте
    6 трассеровка с сервера
    7 трассеровка с клиента















  • Очевидно SNAT на Router2 в сторону pfSense Client подменяет адрес источника на 192.168.0.1.
    Если есть возможность, проще раздать клиентам маршрут в удаленную сеть через 192.168.0.11 с помощью DHCP, а не пытаться победить асимметричную маршрутизацию NAT'ами и маршрутами.



  • Для откл. NAT есть галка NO NAT при создании ручного правила NAT-а. Правило ставится первым\выше.



  • @rubic:

    Очевидно SNAT на Router2 в сторону pfSense Client подменяет адрес источника на 192.168.0.1.
    Если есть возможность, проще раздать клиентам маршрут в удаленную сеть через 192.168.0.11 с помощью DHCP, а не пытаться победить асимметричную маршрутизацию NAT'ами и маршрутами.

    Хорошая идея, но есть у меня и клиенты на статике, маршрут до них не дойдет. Я склоняюсь к варианту с двумя шлюзами. Ну это на крайняк если не получится победить Zyxel



  • @werter:

    Для откл. NAT есть галка NO NAT при создании ручного правила NAT-а. Правило ставится первым\выше.

    Попробовал отключить NAT, НЕ помогло, да и с доступом в сеть появляются проблемы

    Видимо нужно разбираться с NAT-ом на роутере во 2-ой сети. У меня там Keenetic II


Log in to reply